Tratamento de dados Adenda

Os termos em maiúsculas não definidos aqui têm o significado atribuído no GDPR (Regulation (EU) 2016/679) e, quando aplicável, no UK GDPR / Data Protection Act 2018, na California Consumer Privacy Act conforme alterada pelo CPRA (“CCPA”) e nas leis equivalentes de outras jurisdições.

“Dados Pessoais” são os dados enviados pelo Cliente ou gerados pelo Serviço que identificam ou se referem a uma pessoa singular identificada ou identificável. “Subcontratante” é um terceiro contratado pelo FixVibe para tratar Dados Pessoais em nome do FixVibe — listados em /legal/privacy.

Cada parte é independentemente responsável pelo cumprimento das Leis de Proteção de Dados que lhe sejam aplicáveis. O Cliente é o Responsável pelo Tratamento e o FixVibe é o Subcontratante dos Dados Pessoais tratados ao abrigo desta Adenda. O FixVibe tratará os Dados Pessoais apenas com base nas instruções documentadas do Cliente (a configuração do Serviço constitui tais instruções), salvo obrigação legal em contrário.

O FixVibe garante que o pessoal autorizado a tratar Dados Pessoais está vinculado por obrigações de confidencialidade. O acesso aos dados de produção está restrito a um subconjunto do pessoal de operações com privilégios mínimos, registado via audit_logs e revisto periodicamente. Os colaboradores do FixVibe apenas acedem aos dados do Cliente para investigar tickets de suporte, responder a incidentes de segurança ou cumprir processos legais.

O FixVibe implementa medidas técnicas e organizativas adequadas, consistentes com o GDPR Art. 32, incluindo:

• cifragem de Dados Pessoais em trânsito (TLS 1.2+) e em repouso (cifragem ao nível do disco da base de dados + cifragem direcionada ao nível de coluna AES-256-GCM para cabeçalhos de scan autenticado e tokens OAuth);
• segurança ao nível de linha forçada em cada tabela da base de dados — o código de aplicação não pode ler nem escrever entre limites organizativos, mesmo por engano;
• autenticação multifator por utilizador através do fornecedor OAuth upstream (Google ou GitHub) quando o Cliente escolhe login social;
• análise estática contínua e pesquisa de vulnerabilidades de dependências da própria base de código do FixVibe;
• backups através do fornecedor de base de dados com recuperação point-in-time; testados anualmente;
• períodos de retenção definidos (ver Política de Privacidade) aplicados por um cron automatizado diário, não uma simples promessa em papel.

O Cliente autoriza o FixVibe a envolver os Subcontratantes listados na Política de Privacidade para os fins aí descritos. O FixVibe celebra um contrato escrito com cada Subcontratante que impõe obrigações de proteção de dados não menos protetoras do que as desta Adenda, e permanece responsável perante o Cliente pelos atos e omissões do Subcontratante no que respeita ao tratamento de Dados Pessoais.

O FixVibe notificará o Cliente (via aviso na aplicação ou e-mail) de qualquer adição ou substituição prevista de Subcontratantes com pelo menos 30 dias de antecedência, dando ao Cliente a oportunidade de se opor. Se o Cliente se opuser por motivos razoáveis de proteção de dados, poderá rescindir o Serviço relativamente ao tratamento afetado.

O FixVibe trata os Dados Pessoais principalmente nos Estados Unidos. Quando os Dados Pessoais são transferidos do EEA, UK ou Suíça para um país terceiro que não recebeu uma decisão de adequação, o FixVibe baseia-se em:

• as Cláusulas Contratuais Padrão da Comissão Europeia (Decision (EU) 2021/914), Módulo 2 (responsável para subcontratante), incorporadas nesta Adenda por referência;
• o Addendum de Transferência Internacional de Dados do Reino Unido às SCCs da UE (ou o IDTA autónomo), tal como publicado pelo ICO;
• as medidas técnicas e organizativas suplementares descritas na Secção 4.

O Cliente autoriza o FixVibe a celebrar as SCCs / IDTA com cada Subcontratante em nome do Cliente.

O FixVibe assistirá o Cliente (tendo em conta a natureza do tratamento e a informação disponível) no cumprimento de pedidos dos titulares dos dados ao abrigo dos Articles 15–22 GDPR. A maioria dos direitos é exercível em self-service a partir de Conta → Privacidade; para pedidos residuais, o Cliente pode enviar e-mail para support@fixvibe.app com o assunto “Privacy request”. Respondemos no prazo de 30 dias.

O FixVibe notificará o Cliente sem demora injustificada (e em qualquer caso no prazo de 72 horas após tomar conhecimento) de uma violação de Dados Pessoais que afete os Dados Pessoais do Cliente, fornecendo as informações de que o Cliente razoavelmente necessite para cumprir as suas próprias obrigações ao abrigo do Article 33 / 34, incluindo a natureza da violação, as categorias e o número aproximado de titulares e registos afetados, as prováveis consequências e as medidas tomadas ou propostas para a remediar.

O FixVibe disponibilizará ao Cliente as informações necessárias para demonstrar o cumprimento desta Adenda, incluindo este documento, a Política de Privacidade, a Política de Uso Aceitável, os Termos e quaisquer relatórios de segurança de terceiros que detenhamos (partilharemos estes sob NDA a pedido). O FixVibe permitirá e contribuirá para auditorias, incluindo inspeções, conduzidas pelo Cliente ou por outro auditor mandatado pelo Cliente, com aviso prévio razoável e durante o horário comercial, não mais de uma vez por ano civil (exceto se um regulador o exigir ou em caso de violação de Dados Pessoais).

Após a cessação do Serviço, e à escolha do Cliente, o FixVibe eliminará ou devolverá todos os Dados Pessoais tratados em seu nome no prazo de 30 dias, exceto na medida em que o FixVibe seja obrigado por lei aplicável a conservá-los (p. ex., registos fiscais / de faturação). O fluxo de eliminação de conta em self-service em Conta → Privacidade desencadeia este processo imediatamente.

Para efeitos da CCPA, o FixVibe é um “Service Provider” e o Cliente é um “Business” relativamente a qualquer Informação Pessoal tratada ao abrigo desta Adenda. O FixVibe não:

• venderá nem partilhará (conforme estes termos são definidos na CCPA) Informação Pessoal;
• conservará, utilizará nem divulgará Informação Pessoal para qualquer finalidade que não seja a finalidade comercial específica de prestação do Serviço, incluindo fora da relação comercial direta entre o FixVibe e o Cliente;
• combinará Informação Pessoal recebida do Cliente com Informação Pessoal recebida de qualquer outra fonte, exceto na medida expressamente permitida pela CCPA.

O FixVibe certifica que compreende e cumprirá estas restrições.

Em caso de conflito entre esta Adenda e os Termos de Serviço, esta Adenda prevalece na medida do conflito. As SCCs / IDTA prevalecem sobre ambos quando aplicáveis.

Para todos os assuntos de proteção de dados, incluindo o exercício de direitos dos titulares e consultas sobre Subcontratantes, contacte a EGO HERO LLC:

• e-mail: support@fixvibe.app (indicar “DPA” no assunto para encaminhamento)
• endereço postal: disponível a pedido através do e-mail acima